Pregunta de protección CSRF

Actualmente estoy en proceso de implementar la protección CSRF en mi framework (PHP).Pregunta de protección CSRF

Sin embargo me pregunto:

¿No sería posible que un atacante para cargar mi página en un iframe (oculto) (obtención de la ficha) y cambiar algunos datos utilizando JavaScript?

¿Y después de enviar el formulario?

Fuente

2011-07-17 PeeHaa

Salvo que la página del atacante tenga el mismo dominio, protocolo y puerto que el suyo (si es así, probablemente tenga problemas más graves), no podrán leer el código HTML iframe debido a Same Origin Policy.

Fuente

2011-07-17 14:09:21 alex

Ok kewl. Pensé que la Política del mismo origen solo significaba que no podíamos hacer las solicitudes. – PeeHaa

@PeeHaa: depende del contexto. Con un 'iframe', significa que a menos que el dominio, el puerto y el protocolo coincidan, no se puede acceder al DOM del' iframe'. – alex

Respuesta

Cuestiones relacionadas